050.0173.050813
ԳՐԱՆՑՎԱԾ Է
ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ
ԱՐԴԱՐԱԴԱՏՈՒԹՅԱՆ ՆԱԽԱՐԱՐՈՒԹՅԱՆ ԿՈՂՄԻՑ
«05» 08 2013 Թ.
ՊԵՏԱԿԱՆ ԳՐԱՆՑՄԱՆ ԹԻՎ 05013299
ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ԿԵՆՏՐՈՆԱԿԱՆ ԲԱՆԿԻ ԽՈՐՀՈՒՐԴ
ՈՐՈՇՈՒՄ
9 հուլիսի 2013 թվականի թիվ 173-Ն
«ՏԵՂԵԿԱՏՎԱԿԱՆ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ՆՎԱԶԱԳՈՒՅՆ ՊԱՀԱՆՋՆԵՐԻ ՍԱՀՄԱՆՄԱՆ ՎԵՐԱԲԵՐՅԱԼ ԿԱՐԳԸ» ՀԱՍՏԱՏԵԼՈՒ ՄԱՍԻՆ
(2-րդ մաս)
| ԳԼՈՒԽ 14. |
Ծրագրային անվտանգություն |
75. Մշակող կազմակերպության ստեղծած` գլխավոր ադմինիստրատորի գաղտնաբառը ծրագրի վերջնական գործարկումից և ծրագրի ընդունման-հանձնման ակտը ստորագրելուց անմիջապես հետո պետք է փոխվի, իսկ փոխված գաղտնաբառը փակ ծրարի միջոցով պետք է հանձնվի Կազմակերպության գործադիր ղեկավարին, իսկ գլխավոր ադմինիստրատոր օգտագործողի միջոցով ծրագրային համակարգի ադմինիստրատոր օգտագործող ստեղծելուց անմիջապես հետո գլխավոր ադմինիստրատոր օգտագործողը պետք է կասեցվի:
76. Կազմակերպությունում ցանկացած ծրագրային ապահովման ներդրումը պետք է իրականացվի համապատասխան փորձարկումներից հետո: Ընդ որում` փորձարկման ժամանակ արգելվում է օգտագործել Կազմակերպության իրական հաճախորդների տվյալները:
77. Կազմակերպության ծրագրային կարգաբերումների կամայական նորացումները և թարմացումները նույնպես պետք է ներդրվեն միայն փորձարկումներից հետո:
78. Արգելվում է կամայական չարտոնված մուտքի հնարավորության առկայությունը:
79. Արգելվում է այլ անձի կողմից օգտագործվող անունով համակարգ մուտք գործելը, բացառությամբ արտակարգ իրավիճակներում, միայն Կազմակերպության ղեկավարության վերին օղակի թույլտվության առկայության դեպքում:
80. «Գործառնական օր» ծրագրային համակարգի ինքնուրույն մշակման դեպքում Կազմակերպությունում պետք է առկա լինեն`
1) մշակված տեխնիկական առաջադրանքը,
2) ծրագրային համակարգի մշակմանը մասնակցած հիմնական և/կամ ժամկետային պայմանագրով աշխատող աշխատակիցների ցուցակը, որտեղ պետք է նշվեն նաև նրանց զբաղեցրած պաշտոնները,
3) ծրագրի մշակման լեզուն և ինտերֆեյսը,
4) ծրագրի վերջնական շահագործվող տարբերակի ծրագրային կոդերը կրող սկավառակների գտնվելու վայրը,
5) ծրագրերի թեստավորման մասնակիցների ցուցակը, մասնակիցների մասնագիտական որակավորումը, Կազմակերպությունում զբաղեցրած պաշտոնը,
6) յուրաքանչյուր թեստավորման արձանագրությունը, թեստավորող խմբի մասնակիցների եզրակացությունը, գործադիր տնօրենի և մասնակիցների ստորագրությունները,
7) ծրագիրը օգտագործող ստորաբաժանումների աշխատակիցների կողմից թեստավորմանը մասնակցելու մասին փաստաթղթերը,
8) ծրագրի վերջնական շահագործվող տարբերակի ծրագրային կոդերի մեջ փոփոխություններ կատարելու հնարավորություններ ունեցող աշխատակիցների ցուցակը,
9) ծրագրի օգտագործողների ուղեցույցը կամ այլ ուղղորդող ձեռնարկներ, փաստաթղթեր:
(80-րդ կետը փոփ. 17.03.17 թիվ 66-Ն որոշում)
81. «Գործառնական օր» Ծրագրային համակարգը որևէ մշակող ընկերությանը պատվիրակելու դեպքում Կազմակերպությունում պետք է առկա լինեն`
1) ծրագրային համակարգի վերաբերյալ Կազմակերպության և մշակող ընկերության միջև կնքված պայմանագիր.
2) մշակող ընկերությանը ներկայացված տեխնիկական առաջադրանքը և պահանջները.
3) նոր մշակված ծրագրային ապահովման թեստավորման արձանագրությունը և այլ փաստաթղթեր, որոնք պարունակում են թեստավորման արդյունքները, թեստավորող խմբի մասնակիցների եզրակացությունը, ղեկավարության վերին օղակի և մասնակիցների ստորագրությունները.
4) Կազմակերպության և մշակող ընկերության կողմից ստորագրված ընդունման-հանձնման ակտը.
5) մշակող ընկերության տեղեկատվական տեխնոլոգիաների վերաբերյալ հեղինակավոր աուդիտորական կազմակերպության եզրակացությունը.
6) մշակող ընկերության` միջազգային ընդունված չափանիշներին համապատասխանությունը հավաստող վկայագիր կամ միջազգային հավաստագրման որևէ կազմակերպության կողմից թողարկված վկայագիր կամ որևէ ապահովագրական ընկերությունում ծրագրային համակարգի ապահովագրված լինելը հավաստող փաստաթուղթ.
7) Կազմակերպության, մշակող ընկերության և Էսքրոու (Escrow) ծառայություններ մատուցող երրորդ ընկերության միջև «Գործառնական օր» ծրագրային համակարգի ծրագրային կոդերի պահուստային պահպանման և համապատասխան արտակարգ իրավիճակում Կազմակերպությանը հանձնման վերաբերյալ պայմանագիր:
82. «Գործառնական օր» ծրագրային համակարգի նոր կամ թարմացված տարբերակը ներդրվում է միայն այն դեպքում, երբ այն`
1) անցել է թեստավորման բոլոր փուլերը և առկա է թեսթավորող հանձնաժողովի դրական եզրակացությունը,
2) ընդունվել է համակարգի պատվիրատուի (օգտագործողի) կողմից` ընդունման-հանձնման ակտի ստորագրմամբ:
83. Կազմակերպությունը պետք է ձեռք բերի միայն արտոնագրված ծրագրային համակարգեր:
84. Կազմակերպությունը պետք է կատարի ծրագրային ապահովումների պարբերական թարմացումներ:
85. Կազմակերպության «Գործառնական օր» Ծրագրային համակարգի թեստավորումների հետ կապված փաստաթղթերը հանդիսանում են գաղտնի և պետք է հասանելի լինեն միայն արտոնագրված օգտագործողներին:
| ԳԼՈՒԽ 15. |
Ֆիզիկական անվտանգություն |
86. Կազմակերպության Սերվեր հանդիսացող համակարգիչները պետք է պահպանվեն համապատասխան առանձնացված (սերվերային) սենյակներում:
87. Սերվերային սենյակը պետք է համապատասխանի հետևյալ չափանիշներին.
1) լինի առանձնացված հարակից տարածքներից ոչ թափանցիկ նյութերից (օրինակ` չլինի ապակուց) պատրաստված պատերով,
2) սերվերային սենյակի դուռը պետք է հանդիսանա միակ ճանապարհը այնտեղ մուտք գործելու կամ դուրս գալու համար,
3) ունենա հակահրդեհային պաշտպանության համակարգ,
4) ունենա շարժման գրանցման/հայտնաբերման համակարգ և/կամ տվիչներ,
5) ունենա համակարգիչների բնականոն աշխատանքն ապահովելու համար անհրաժեշտ ջերմաստիճանը, օդի խոնավությունը կարգավորող և պահպանող համակարգ, ինչպես նաև օդափոխության համակարգ,
6) ունենա տեսահսկման համակարգ, որը պետք է տեղադրված լինի այնպես, որ հնարավորություն լինի հսկելու սերվերային սենյակում տեղի ունեցող ցանկացած իրադարձություն,
7) ունենա դռան ինքնաբերաբար փակման համակարգ,
8) ունենա սերվերային սենյակի մուտքի/ելքի գրանցման համակարգ (առնվազն պետք է գրանցվի մուտք/ելք գործողի անուն-ազգանունը, մուտքի/ելքի ժամը և ամսաթիվը),
9) սերվերային սենյակը պետք է ունենա անխափան էլեկտրասնուցման համակարգեր, որը պետք է ապահովի ինչպես սերվերների անխափան աշխատանքը, այնպես էլ այս գլխում նշված տեսահսկման, հակահրդեհային պաշտպանության, շարժման գրանցման և հայտնաբերման, ջերմաստիճանը պահպանող, օդափոխության համակարգերի անխափան աշխատանքը, առնվազն հիմնական սերվերներից այլ վայրում գտնվող պահուստային սերվերներին անցնելու ժամանակահատվածում,
10) եթե սերվերային սենյակը ունի պատուհան, ապա այն պետք է լինի դրսից ճաղապատ և միշտ լինի փակ և կարող է բացվել միայն Կազմակերպության ղեկավարության վերին օղակի գրավոր որոշման և հստակ պատճառաբանության առկայության դեպքում:
(87-րդ կետը փոփ. 17.03.17 թիվ 66-Ն որոշում)
88. Կազմակերպության բոլոր տեխնիկական սարքավորումները պետք է հողանցվեն:
89. Կազմակերպության տեխնիկածրագրային սարքավորումները պետք է ունենան նույնականացուցիչներ:
90. Ցանցային միացման կետերը պետք է ֆիզիկապես պաշտպանված լինեն:
91. Եթե Կազմակերպությունը ունի ներքին աուդիտի ստորաբաժանում, ապա դրա կազմում պետք է ներառվի տեղեկատվական տեխնոլոգիաների աուդիտում մասնագիտացված և տեղեկատվական տեխնոլոգիաների աուդիտ իրականացնող աշխատակից:
92. Եթե Կազմակերպությունը չունի ներքին աուդիտի ստորաբաժանում, ապա Կազմակերպությունը պետք է ունենա տեղեկատվական տեխնոլոգիաների աուդիտ իրականացնելու պարտականություններով օժտված աշխատակից:
93. Կազմակերպությունում տեղեկատվական տեխնոլոգիաների աուդիտով զբաղվող ստորաբաժանում կամ աշխատակցի առկայությունը պարտադիր չէ, եթե Կազմակերպությունը տեղեկատվական տեխնոլոգիաների ներքին աուդիտի իրականացումը պատվիրակում է երրորդ անձի:
94. Կազմակերպությունը կարող է մասնակիորեն կամ ամբողջությամբ պատվիրակել տեղեկատվական տեխնոլոգիաների ենթակառուցվածքի աշխատանքները, հաշվի առնելով համապատասխան ՀՀ օրենքներով և նորմատիվ իրավական այլ ակտերով սահմանված սահմանափակումները:
ՀՀ կենտրոնական բանկի խորհրդի
2013 թվականի հուլիսի 9-ի
թիվ 173-Ն որոշմամբ հաստատված
«Տեղեկատվական անվտանգության
ապահովման վերաբերյալ» կարգի
Հավելված 1
Տիպային պարտականությունների
անհամադրելիության մատրից
._____________________________________________________________________.
| |Ծրագրա- |Օգնության|Տվյալների |Ցանցային |Համա- |
| |վորողներ|Ծառայու- |հենքի |ադմինիստրա-|կարգերի |
| | |թյուն |ադմինիստրա-|տոր |ադմինիստրա-|
| | | |տոր | |տոր |
|______________|________|_________|___________|___________|___________|
|Ծրագրավորողներ| | | X | X | X |
|______________|________|_________|___________|___________|___________|
|Օգնության | | | | | |
|Ծառայություն | | | | | |
|______________|________|_________|___________|___________|___________|
|Տվյալների | | | | | |
|հենքի | | | | | |
|ադմինիստրատոր | X | | | X | X |
|______________|________|_________|___________|___________|___________|
|Ցանցային | | | | | |
|ադմինիստրատոր | X | | X | | X |
|______________|________|_________|___________|___________|___________|
|Համակարգերի | | | | | |
|ադմինիստրատոր | X | | X | X | |
._____________________________________________________________________.